Hi,
da mich einige Bekannte auf das Thema DC hinter einer Firewall angesprochen haben, möchte ich noch etwas genauer darauf eingehen.
Der erste Punkt war, dass Netbios traffic nicht geroutet werden sollte. An sich ist das richtig und wenn man aufgrund seines Netzwerkaufbaus darauf verzichten kann, spricht auch nichts dagegen. Leider benötigen auch in modernen Netzwerken einige Anwendungen (z. B. Exchange) NetBios Dienste daher wird das blocken dieser Ports i. d. R. schwer…
Der zweite Punkt war die Frage „Warum eine Firewall im Lan?“. Die Antwort auf diese Frage ist recht einfach. Ein großer Teil von Angriffen erfolgt aus dem eigenen Netz heraus (Stichwort unzufriedener Mitarbeiter oder Virus / Trojaner). Man sollte daher wichtige Anwendungen sowie essentielle Infrastruktur Komponenten möglichst umfassend schützen. Dies erreicht man neben einem aktuellen Patchlevel, einem umfangreiches Logging und Monitoring auch durch die Abschottung nicht benötigter Ports durch eine Firewall. Des Weiteren ermöglicht eine Firewall eine einfachere Erkennung von Angriffen und bietet zudem Abwehrmechanismen.
Zum Schluß noch der Hinweis, dass es sich bei dem von mir vorgestellten Szenario nicht um ein WAN Aufbau handelt. Die DMZ sollte direkt im eigenen Lan stehen (siehe Visio Chart).